Windows 10 Update 1511 échoue avec le chiffrement de disque entier DiskCryptor

J'utilise Windows 10 avec le cryptage de disque entier DiskCryptor sur le lecteur système. La dernière mise à jour de Windows 10 ne s'installe pas. Lorsque je redémarre le système pour installer la mise à jour, j'obtiens la séquence d'événements suivante:

• J'entre mon mot de passe DiskCryptor qui déverrouille le disque
• Windows Update demande la disposition du clavier
• Windows Update échoue ensuite peu de temps après

Si je pousse le processus suffisamment loin, j'obtiens un message indiquant qu'il ne peut pas continuer car un fichier (ou des fichiers) est verrouillé.

Mon collègue utilise également DiskCryptor sur son lecteur système et a eu une expérience identique.

Donc:

• Est-ce un problème connu avec le chiffrement de disque entier en général?
• Est-ce un problème spécifique à DiskCryptor?
• Si oui, s'agit-il d'un bug que MS va corriger ou nécessitera-t-il une solution de contournement?

Cela semble être un problème avec le logiciel Full Disk Encryption en général (à l'exception présumée du propre BitLocker de MS). Du coordinateur VeraCrypt lui-même:

Windows 10 version 1511, échec de la mise à jour de la génération 10586

TrueCrypt aurait eu le même problème. C'est cette mise à jour spécifique de Windows qui semble désactiver les pilotes de filtre utilisés pour le chiffrement à la volée et si Windows avait été chiffré à l'aide de TrueCrypt, il aurait également échoué. Il n'y a rien de magique dans le pilote TrueCrypt qui aurait empêché cela.

Microsoft fait quelque chose de méchant dans le programme d'installation de mise à jour. Le pilote VeraCrypt fonctionne comme prévu, mais ce programme d'installation le bloque clairement pendant le processus de mise à jour du système. Ce faisant, Microsoft casse des logiciels FDE autres que Bitlocker et ceux de partenaires Microsoft.

Quelle est la meilleure façon de signaler cela à Microsoft? De toute évidence, sur VeraCrypt, nous manquons de ressources humaines pour approfondir ce blocage profond du noyau par le programme d'installation de mise à jour.

La solution de contournement est décrite dans un article de forum distinct :

Vous devez déchiffrer le chiffrement du système avant d'effectuer toute mise à niveau du système d'exploitation.

En outre, la mise à jour de Windows 10 de novembre nécessite le décryptage du système d'exploitation afin d'appliquer la mise à jour de Windows 10 1511. Normalement, ce n'est pas nécessaire.

REMARQUE : démontez et déconnectez tous les volumes chiffrés externes connectés à votre PC avant de commencer la mise à niveau du système d'exploitation. J'ai vu des utilisateurs se plaindre par le passé que la mise à niveau du système d'exploitation Windows voit le lecteur / la partition chiffrée au format RAW et Windows essaie d'être trop utile en formatant automatiquement et rapidement la partition et en attribuant une lettre de lecteur pour la rendre utilisable par Windows.

MISE À JOUR: Juste pour fermer la boucle, j'ai effectué les étapes suivantes sans aucun effet néfaste. Comme toujours, sauvegardez d'abord !! Je n'avais pas besoin de ma sauvegarde, mais je ne peux pas garantir que vous n'en aurez pas besoin;).

1. Déchiffrer le lecteur système (très probablement C :)
   • J'ai un disque dur secondaire (D :)
   • Ce lecteur D: était également chiffré
   • Je n'ai pas déchiffré mon disque D:
2. Appliquer la mise à jour Windows
   • Le bootloader DiskCryptor m'a quand même demandé un mot de passe à chaque redémarrage
   • Je viens d'appuyer sur [Entrée] sans mot de passe et la machine a démarré
3. Rechiffrez le lecteur système

Note rapide sur le lecteur D: chiffré (lecteur secondaire):

Soyez très prudent lorsque Windows 10 démarre et que le lecteur C: n'est toujours pas chiffré. Le lecteur D: n'est pas monté automatiquement au démarrage dans ce scénario. Si vous double-cliquez sur le lecteur D:, Windows ne le reconnaîtra pas et vous proposera de le formater pour vous. Pour monter le lecteur, vous devez ouvrir DiskCryptor, choisissez le lecteur D:, cliquez sur [Monter] et entrez le mot de passe.

Windows n'a pas formaté automatiquement mon lecteur secondaire, mais il m'aurait été très facile de le faire accidentellement. Procédez avec prudence!

Je me rends compte que ce fil est un peu vieux mais pour le bien des chercheurs ... La présence de DiskCryptor empêche (au moins) les mises à jour de Windows (10) 1709 sans qu'aucune erreur spécifique ne soit signalée - juste un écran bleu à la fin et réinstaller l'ancien la version ... n'a pas d'importance si les disques DiskCryptor sont réellement montés ou non.

La solution simple est de désinstaller DiskCryptor, d'exécuter les mises à jour et de réinstaller - a fonctionné pour moi après plusieurs jours de recherches sur les raisons pour lesquelles mes systèmes ne se mettaient pas à jour.

Mais après l'installation de la mise à jour, au moins avec la mise à jour Creators, le comportement des lecteurs montés a changé. Les volumes montés ne sont plus démontés lors de l'arrêt de Windows. En fait, il semble que DiskCryptor empêche un arrêt de Windows si des lecteurs DiskCryptor sont montés, et la station se met simplement en veille (ce qui, si vous n'êtes pas observateur, peut ne pas être remarqué) - au réveil, les lecteurs sont tous encore montés! J'ai testé cela sur deux ordinateurs portables Lenovo avec Win 10 home et 1 ordinateur de bureau avec Win 10 Enterprise - pas de différence. J'espère que cela aide quelqu'un et j'espère que Windows corrige cela rapidement - sauf si l'intention est de forcer le passage à BitLocker :( btw ce nouveau comportement n'était pas présent lorsque je l'ai testé avec TrueCrypt. Les lecteurs se démontent automatiquement à l'arrêt.

J'avais trouvé un autre problème avec DiscCryptor et le disque GPT.

J'ai plusieurs Windows 32 Bits (toutes les versions Home de Vista à 10) sur le même disque GPT (le seul présent, c'est un ordinateur portable avec BIOS uniquement, pas d'U-EFI); oui et oui, il s'agit uniquement du BIOS et le disque est GPT avec plus de 4 partitions principales, toutes les partitions sont GPT, sauf un petit GrubBIOS RAW de 8 Mo pour Grub2 core.img ... et oui, oui, Windows 32 bits; rappelez-vous que Windows ne démarre pas à partir d'un disque qui n'est pas MBR, je n'aime pas Hybrid GPT + MBR, je préfère les petits fichiers Grub2 + MemDisk + VHD (32 Mo ou moins).

Mon disque est 100% GPT, a une partition GPT NTFS pour chaque Windows pour le système (où se trouve le dossier WINDOWS, mais le code de démarrage NT60 et BCD n'est pas là), il a également une partition NTFS supplémentaire pour les fichiers Grub2 & MemDisk & VHD (sinon, les fenêtres 32 bits ne pourront pas être démarrées à partir d'un disque GPT, alias 32 bits sur le disque BIOS + GPT); que les fichiers VHD sont de taille fixe (juste pour permettre à memdisk de les émuler sur ram) et ont en interne un disque MBR avec une seule partition NTFS de 32 Mo où il y a le code de démarrage NT60 et le BCD pour ce Windows spécifique; un VHD par Windows.

Ceci est un exemple (toutes les fenêtres sont des versions 32Bits et Home, pas de Pro, pas d'Enterprise, pas de Serveur, 100% légal) sur le disque GPT sur lequel je fais des tests:

• 1er secteur = code de démarrage Grub2 + protection GPT
• GPT1 = 8 Mo de RAW GrubBIOS (où Grub2 a mis core.img en RAW)
• GPT2 = 1GiB NTFS pour les fichiers Grub2 + MemDisk + fichiers VHD
• GPT3 = NTFS pour système 32 bits Windows Vista SP2 (dossier Windows, etc.)
• GPT4 = NTFS pour le système Windows 7 SP1 32 bits (dossier Windows, etc.)
• GPT5 = NTFS pour le système Windows 8 32 bits (dossier Windows, etc.)
• GPT6 = NTFS pour le système Windows 8.1 32 bits (dossier Windows, etc.)
• GPT7 = NTFS pour le système Windows 10 32 bits (dossier Windows, etc.)
• GPT ... et ainsi de suite ...

Chaque disque dur virtuel est entouré d'un disque MBR virtuel de 32 Mo, comme ceci:

• 1er secteur = code de démarrage Nt60 + table de partition MBR
• MBR.1 = primaire NTFS 32 Mo (où se trouve le contenu BCD)
• MBR.2 = -empty-
• MBR.3 = -empty-
• MBR.4 = -empty-

Un fichier VHD pour chaque fenêtre (pour isoler les chargeurs de démarrage et BCD).

Si je veux mettre tout cela sur un MBR (il est limité à 3 principaux + 1 étendu), je ne peux mettre que 3 fenêtres (Grub2 peut être sur une logique à l'intérieur de l'extension), que 3 principaux seront ceux qui ont chacun Trucs BCD (isoler les BCD de chaque fenêtre) ... si j'autorise tous les BCD Windows sur la même partition, je peux mettre autant de fenêtres que je veux, mais tous partageront le BCD, donc le menu de démarrage sera celui présenté par les fenêtres, ils ne seront pas isolés, un échec sur l'un d'eux touchant un tel BCD ruinera le démarrage de tout le reste, etc., sans oublier que je veux aussi le cryptage.

Avec ces fichiers GPT + Grub2 + MemDisk + VHD que j'obtiens comme je veux (sauf l'encyption), isolez à 100% chaque Windows du reste de Windows.

Je veux un BIOS et non U-EFI pour trois raisons principales:

1. Je veux que 100% du disque dur (sauf le premier secteur, la table GPT et la deuxième copie de la table GPT à la fin du disque) soient cryptés ... toujours en train de travailler sur la façon de crypter cette partition que j'utilise pour les fichiers Grub2 + MemDisk + VHD ... j'avais envisagé de créer une partition supplémentaire pour chaque fichier VHD ... afin qu'elle soit chiffrée comme le système est, puis Grub2 avec LUK (en utilisant le paramètre modules lors de l'installation de grub2).
2. Mon ordinateur portable n'a pas d'U-EFI, c'est uniquement du BIOS
3. Mon disque dur est plus grand que 2 To (le MBR ne permet d'utiliser que jusqu'à 2 To, le reste est perdu)

Pour revenir au problème avec DiskCryptor, si je crypte la partition Windows GPT démarrée (où se trouve le dossier WINDOWS), mettez le code de démarrage sur l'autre disque Virtual MBR (qui se trouve à l'intérieur du fichier VHD), après le démarrage, il vous demande un mot de passe mais il affiche toujours l'erreur de «mot de passe invalide».

Mais si je ne crypte pas la partition Windows GPT amorcée (où se trouve le dossier WINDOWS), et que je ne crypte que la partition où se trouve BCD (celle à l'intérieur du disque MBR virtuel qui se trouve à l'intérieur du fichier VHD), au démarrage, il demande le mot de passe et s'il est correct, il démarre parfaitement Windows (sauf qu'il ne monte pas automatiquement la partition de disque virtuel du BCD, je dois la monter manuellement ... je dois voir si je la monte automatiquement), mais Windows fonctionne très bien.

Et si je les crypte tous les deux (avec le même mot de passe), Windows bootmbr se charge mais il indique que winload.exe ne peut pas être trouvé dans un arrière-plan bleu avec un écran graphique en texte blanc.

Lorsque je ne crypte que la partie MBR, le montage non automatique peut être dû au fait que le fichier VHD n'est pas connecté suffisamment tôt ... peut-être que la mise en cache du mot de passe et l'exécution de DisckCryptor à la connexion peuvent résoudre ce problème puisque la connexion VHD est effectuée dans un calendrier de tâches avant la connexion ... je dois tester cela si j'ai le temps.

On dirait que "Système réservé" ou quel que soit le nom que vous souhaitez utiliser (où se trouvent le code de démarrage NT60 et les éléments BCD) sur un autre disque n'est pas pris en charge par DiskCryptor, ou du moins pas si Windows 32Bits est sur la partition GPT (où se trouve le dossier WINDOWS est) .... puisque le cryptage de Virtual MBR fonctionne bien, mais le cryptage de la partition GPT provoque différents types d'erreurs!

Je vais réessayer beaucoup plus d'options, comme créer un ISO et démarrer avec ça, etc.

Merci j'ai multiplié Windows, j'ai démarré avec un autre, installez DiskCryptor, redémarré et essayez de monter le GPT, il se monte correctement, donc je le déchiffre, et corrige le gros problème de ne pas pouvoir démarrer celui-ci, jusqu'à ce que je trouve une solution que je ferai plus de test sur une machine VirtualBOX, avant de diriger à nouveau avec mon ordinateur portable ... je souhaite que DiskCryptor m'aurait prévenu avant de le faire ... mais au moins je sais ce que je fais et je sais démarrer depuis le d'autres fenêtres je peux décrypter, j'ai aussi Clone BackUp, etc.

Peut-être que quelque chose me manque! Peut-être que je ne comprends pas complètement comment démarrer ou où mettre le chargeur de démarrage DiskCryptor, comment le configurer, etc.

Veuillez garder à l'esprit que je veux plus de 4 bits Windows Home 32 différents sur le même disque GPT, je les veux 100% isolés, y compris les codes de démarrage, BCD et autres choses ... qui ne font aucune autre option ... GPT obligatoire. .. je veux aussi qu'ils soient cryptés avec des mots de passe différents, non seulement le système (où se trouve le dossier Windows), mais aussi la partition de démarrage (où se trouve BCD), le cryptage Grub2 est facile pour moi de le faire pour ne pas compliquer les choses je ne l'utilise pas chiffré jusqu'à ce que je trouve une solution de travail.

Je pensais que protéger la partition de démarrage (où se trouve BCD) serait beaucoup plus difficile que le système (où se trouve le dossier WINDOWS) lui-même, mais j'ai trouvé l'opposé.

Je dois tester, tester et tester ... peut-être ai-je trouvé un moyen.

Oui, au cas où quelqu'un y penserait, j'ai essayé TrueCrypt et VeraCrypt, les deux ont des problèmes plus importants, TrueCrypt n'autorise pas l'inscription du système GPT et VeraCrypt suppose que le disque GPT est uniquement pour U-EFI, donc il échoue lors de la sauvegarde de U-EFI des trucs, peu importe si je mets une partition EFI, puisque la machine n'a pas de vars EFI (BIOS uniquement, pas d'U-EFI), elle échoue.

Le démarrage (sans chiffrement) se fait de cette façon, sous tension, exécution du BIOS, lecture du BIOS du premier secteur du disque, trouver un code de chargeur de démarrage Grub2, l'exécuter, lire RAW GrubBIOS (core.img) et l'exécuter, Grub2 fait son travail (lire grub fichier .cfg) et afficher le menu, je choisis le système que je veux démarrer, Grub2 charge ensuite memdisk et place dans le disque dur virtuel l'image VHD correspondante et y saute, le code sur le MBR de celui-ci est exécuté (code NT60 ), puis bootmgr est chargé et s'exécute, puis winload.exe, etc ... démarrage normal de Windows ... puis ma tâche de planification est lancée sur le compte SYSTEM, ce même VHD est connecté, maintenant le BCD est accessible, connectez-vous l'invite apparaît, je choisis l'utilisateur, etc ... les fenêtres normales continuent ... le bureau apparaît.

Tout le démarrage se fait à partir du même disque dur, c'est sur le style GPT, l'astuce est qu'avant de démarrer Windows, je monte (avec Grub2 + memdisk + fichier VHD) un disque Virtual MBR où le code de démarrage nt60 et BCD sont, de cette façon, Windows démarre vraiment à partir de ce qu'il sait, un disque MBR, mais c'est un disque virtuel stocké dans un fichier, stocké dans une partition GPT, l'autre bonne astuce est grâce à Grub2 qui permet de démarrer à partir du disque GPT sur un PC BIOS uniquement.

J'espère que quelqu'un pourra reproduire ma procédure de démarrage et tester DiskCryptor. Espérons également qu'un jour VeraCrypt n'assumera pas GPT = U-EFI.

Pour créer le VHD, j'ai utilisé DiskPart à partir de Windows; il peut également être créé, monté, accessible, etc. après le démarrage à partir du support d'installation de Windows et l'accès à une console (Shif + F10 après la langue sélectionnée) et à l'aide de DiskPart.

Merci DiskCryptor je suis un peu près de ce que je veux, mais toujours pas là, juste un petit pas de plus ... démarrez Windows!

La prochaine partie sera de monter DiskCryptor à partir d'un SystemRescueCD (une distribution Linux Live), mais ce sera une histoire vraiment difficile que cela soit possible.